Posts

Selon une annonce de Mullvad VPN (19 décembre 2025), l’éditeur présente GotaTun, une implémentation de WireGuard en Rust, dérivée de BoringTun, déjà déployée sur Android et destinée à remplacer wireguard-go sur toutes les plateformes. GotaTun n’est pas un nouveau protocole mais une implémentation WireGuard écrite en Rust, pensée pour être « rapide, efficace et fiable ». Le nom combine BoringTun et « Götatunneln » (un tunnel à Göteborg). Elle intègre des fonctionnalités de confidentialité de Mullvad comme DAITA et Multihop, apporte un support Android de premier plan et s’appuie sur du multi-threading sûr et des stratégies mémoire zero-copy pour la performance. 🚀 ...

Selon BleepingComputer (Bill Toulas, 19 décembre 2025), la Nigeria Police Force National Cybercrime Centre (NPF–NCCC) a arrêté trois personnes à Lagos et dans l’État d’Edo, soupçonnées d’être liées à des attaques ciblant Microsoft 365 via le service de phishing-as-a-service Raccoon0365. L’opération a été rendue possible par des renseignements fournis par Microsoft, partagés avec le NPF–NCCC via le FBI. 🚔 Le kit « Raccoon0365 » automatisait la création de fausses pages de connexion Microsoft pour le vol d’identifiants, entraînant des cas de Business Email Compromise (BEC), des fuites de données et des pertes financières dans le monde entier. Le service aurait été responsable d’au moins 5 000 compromissions de comptes Microsoft 365 dans 94 pays. Il a été perturbé en septembre par Microsoft et Cloudflare. Le lien entre cette perturbation et l’identification des suspects au Nigeria n’est pas précisé. 🎣 ...

Selon BleepingComputer, la police nigériane a interpellé trois personnes soupçonnées d’être impliquées dans des cyberattaques ciblant des comptes Microsoft 365 via le service de phishing-as-a-service Raccoon0365. 1) Contexte général La police nigériane a procédé à l’arrestation de trois individus liés à des attaques ciblées contre Microsoft 365 menées via la plateforme de phishing Raccoon0365. Ces attaques ont entraîné : des compromissions de messageries professionnelles (BEC), des violations de données, des pertes financières touchant des organisations dans le monde entier. L’opération a été rendue possible grâce à un partage de renseignements impliquant :contentReference[oaicite:0]{index=0}, le :contentReference[oaicite:1]{index=1} et la Nigeria Police Force – National Cybercrime Centre (NPF–NCCC). 2) Raccoon0365 : une plateforme de phishing industrialisée Raccoon0365 est décrit comme un phishing toolkit automatisé, capable de : générer de fausses pages de connexion Microsoft, collecter identifiants et jetons d’authentification, faciliter l’accès non autorisé aux comptes Microsoft 365. Le service a été impliqué dans : au moins 5 000 compromissions de comptes réparties sur 94 pays. La plateforme fonctionnait selon un modèle commercial, avec : vente d’accès mensuels ou trimestriels, paiements en cryptomonnaies, support via Telegram. 3) Démantèlement technique préalable En septembre dernier, Raccoon0365 avait déjà fait l’objet d’une opération de perturbation menée par :contentReference[oaicite:2]{index=2} et :contentReference[oaicite:3]{index=3}. Cette action avait conduit à : la suppression de l’infrastructure de phishing, la désactivation des pages frauduleuses hébergées sur Cloudflare. À ce stade, il n’est pas confirmé si cette opération a directement permis d’identifier les suspects arrêtés au Nigeria. 4) Les arrestations au Nigeria Les forces du NPF–NCCC ont mené des opérations à : Lagos Edo State Résultat : 3 arrestations saisie de laptops, téléphones mobiles et équipements numériques équipements reliés au schéma frauduleux après analyse forensique « Agissant sur la base de renseignements précis et exploitables, des unités du NPF–NCCC ont été déployées (…) conduisant à l’arrestation de trois suspects. » ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...

Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement étatique cible toujours des organisations en Europe en décembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accès aux comptes Microsoft de cibles de grande valeur. Les victimes identifiées ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intérêt spécifique pour les personnes ou entités impliquées dans des activités en Ukraine. ...

Source: “The Art of Pivoting - Techniques for Intelligence Analysts to Discover New Relationships in a Complex World” (document ouvert). Ce livre expose comment les analystes en renseignement et cybersécurité peuvent découvrir des liens cachés entre l’infrastructure d’acteurs menaçants et des enquêtes en cours, en pivotant sur des indicateurs classiques et non conventionnels. L’objectif est de fournir une boîte à outils pratique d’approches analytiques, illustrées par des exemples concrets, pour enrichir les workflows d’enquête sans imposer un modèle rigide. Le livre encourage l’exploration créative, le raisonnement fondé sur les données et l’usage de points de données variés — des IOCs traditionnels aux traces de métadonnées subtiles — dans un processus flexible et reproductible. ...

Selon BleepingComputer, le service de ransomware RansomHouse a récemment amélioré son chiffreur, délaissant une approche linéaire en une seule phase au profit d’une méthode multi‑couches plus complexe. 1) Contexte RansomHouse est une opération de cybercriminalité active depuis décembre 2021, initialement centrée sur l’extorsion par vol de données, avant d’intégrer progressivement le chiffrement. Le groupe opère selon un modèle RaaS et dispose d’outils dédiés, dont MrAgent, capable de chiffrer plusieurs hyperviseurs VMware ESXi simultanément. Récemment, RansomHouse a été observé utilisant plusieurs familles de ransomwares lors d’attaques, notamment contre Askul Corporation, un géant japonais du e-commerce. 2) Évolution majeure : le nouvel encryptor « Mario » Les chercheurs de Palo Alto Networks – Unit 42 ont analysé une nouvelle variante d’encryptor, baptisée Mario. Cette version marque un changement architectural important : passage d’un chiffrement linéaire en une seule phase à un processus multi-couches plus complexe 👉 Objectif : améliorer la robustesse du chiffrement, la vitesse d’exécution et la fiabilité sur des environnements modernes. ...

Selon GBHackers Security, des cybercriminels nord-coréens ont établi un record en 2025 en volant au moins 2,02 milliards de dollars en cryptomonnaies, via une campagne sophistiquée attribuée à un acteur soutenu par un État. L’article souligne que cette campagne représente l’année la plus fructueuse à ce jour pour le vol de cryptomonnaies par un acteur étatique nord-coréen, consolidant un cumul qui atteint désormais 6,75 milliards de dollars. 1) Constat clé En 2025, des acteurs cyber affiliés à la Corée du Nord (DPRK) ont volé au moins 2,02 milliards de dollars en cryptomonnaies. Cela représente : +51 % par rapport à 2024, 76 % de toutes les compromissions de services crypto en 2025. Le total cumulé des vols crypto attribués à la DPRK atteint désormais 6,75 milliards de dollars, faisant du pays l’acteur dominant mondial du cybercrime crypto. 2) Moins d’attaques, mais beaucoup plus destructrices Contrairement aux années précédentes : le nombre d’attaques confirmées diminue, mais leur impact financier explose. Les plus grandes attaques en 2025 : sont 1 000 fois supérieures au vol médian, dépassent même les records du bull market de 2021. Cette stratégie reflète un pivot assumé vers le “quality over quantity”. 3) Vecteurs d’attaque privilégiés Les opérations nord-coréennes reposent principalement sur deux axes : ...

Selon la documentation Microsoft (Microsoft Defender for Office 365, mise à jour le 2025-12-16), les administrateurs peuvent désormais activer la remédiation automatique pour certains types de clusters d’emails identifiés par Automated investigation and response (AIR), qui exigeait auparavant une approbation SecOps par défaut. Cette évolution permet d’augmenter la protection en accélérant la remédiation de messages malveillants et de réduire la charge SecOps. AIR crée des clusters autour d’un fichier ou d’une URL malveillante détectée, puis propose une action de remédiation si les messages sont en boîtes aux lettres. Les clusters non configurés en automatique restent en Pending action, et les clusters de plus de 10 000 messages ne sont pas remédiés automatiquement. ...

Selon bbc.com, le ministre du Commerce Chris Bryant a confirmé qu’une intrusion a permis l’accès à des données gouvernementales, déclenchant une enquête en cours, tandis que la brèche a été rapidement colmatée. Les informations compromises se trouvaient sur des systèmes opérés pour le compte du Home Office par le Foreign Office, dont les équipes ont détecté l’incident. Les autorités estiment le risque pour les individus « faible ». D’après le Sun, des données de visas pourraient avoir été visées lors d’un accès survenu en octobre. ...